- Comentario al documento
La instalación de cámaras de videovigilancia para preservar la seguridad de la empresa, de sus trabajadores y de los bienes que se encuentran en el interior de la misma es una práctica habitual de nuestro día a día. No obstante, no es una cuestión baladí, puesto que la captación de imágenes del rostro de las personas permite su identificación, extremo que, unido al carácter de dato personal que revisten tales imágenes, conlleva la aplicación de la normativa vigente en materia de protección de datos personales, formada por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. De este modo, queda salvaguardado el Derecho Fundamental a la protección de datos personales.
El tratamiento efectuado por medio de la instalación de cámaras de videovigilancia tiene como finalidad la protección de la seguridad de las personas y de los bienes incluidos en el establecimiento o empresa, es decir, una misión realizada en interés público, de modo que se encuentra circunscrita en el supuesto previsto en el artículo 6.1.e) RGPD. Este extremo determina la licitud del citado tratamiento, pese a incluir categorías especiales de datos personales (concretamente, datos biométricos), así como su legitimación.
Ante tal tratamiento, la compañía deberá adoptar una serie de medidas técnicas y organizativas de naturaleza multidisciplinar, personalizadas en la figura del responsable del tratamiento y que hallan su razón de ser en el principio de responsabilidad proactiva o «principio de accountability», la finalidad del cual consiste en impulsar el cumplimiento normativo en la compañía, vinculando para ello a todos los departamentos y trabajadores que los componen.
I.
Introducción
La informatización de la sociedad es, actualmente, una realidad en la que nos encontramos totalmente sumidos, caracterizada por el constante recurso a dispositivos telemáticos con el fin de solucionar todo tipo de necesidades y problemas que nos puedan surgir, entre las que figura la instalación de videocámaras que vigilen la seguridad de las empresas. Ahora bien, tal actuación requiere la puntualización de una serie de aspectos para ser conforme a la legalidad, en general, y a la normativa de protección de datos, en particular, habida cuenta de que las reseñadas cámaras captan imágenes y sonidos de personas cuyo consentimiento no ha sido previamente obtenido para el tratamiento de la citada información (1) .
II.
El Derecho Fundamental a la protección de datos personales
La protección de la vida privada y familiar es una cuestión de especial relevancia jurídica, tanto a nivel nacional, como internacional. En este último plano, es menester destacar la tutela de la misma efectuada por la Declaración Universal de Derechos Humanos, proclamada por la Asamblea General de las Naciones Unidas en París, el 10 de diciembre de 1948 (artículo 12 (LA LEY 22/1948)) y la Convención Europea de Derechos Humanos, adoptada por el Consejo de Europa el 4 de noviembre de 1950 (artículo 8 (LA LEY 16/1950)), así como Directrices de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) sobre protección de la privacidad y flujos transfronterizos de datos, adoptadas en 1980 y posteriormente actualizadas en 2013.
En el ámbito de la Unión Europea, la regulación del derecho a la protección de datos personales está previsto, principalmente, en la Carta de los Derechos Fundamentales de la Unión Europea (2010/C 83/02) —en especial, su artículo 8 (LA LEY 12415/2007)—. Ahora bien, con el avance de las sociedades y el desarrollo de la especial protección de la protección de los datos personales, el reconocimiento de la misma como Derecho Fundamental tuvo lugar mediante el
Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (LA LEY 199/1981)
, hecho en Estrasburgo el 28 de enero de 1981 (en adelante, Convenio n.o 108), que supuso el punto de partida del posterior desarrollo de la protección de datos, tanto en Europa, como en el resto del mundo.
Con posterioridad al citado Convenio, el desarrollo normativo de la materia objeto del presente estudio se ha reflejado en numerosos instrumentos, entre los que destacan, a nivel europeo, la Directiva (UE) 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (LA LEY 5793/1995), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en conexión con la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6638/2016), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI (LA LEY 19814/2008) del Consejo.
Actualmente, rige el vigente
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995)
(en adelante, RGPD), de aplicación a todo tratamiento de datos personales total o parcialmente automatizado, o no automatizado, que tenga lugar en el ámbito de la Unión Europea —y, por tanto, en España—, así como en los restantes supuestos previstos en su artículo 3 (LA LEY 6637/2016)
(2) .
En el ordenamiento jurídico español, si bien actualmente existe el Derecho Fundamental a la protección de datos personales —regulado en la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018)
(en adelante, LOPD)—, tradicionalmente no gozaba de tal autonomía, puesto que estaba vinculado al Derecho Fundamental a la intimidad personal y familiar, previsto en el artículo 18 CE (LA LEY 2500/1978), cuya función es proteger la vida personal y familiar del ciudadano de toda intromisión que pueda padecer sobre las mismas, dado que constituyen una esfera reservada y, por tanto, ajena al conocimiento de terceras personas [FERRER SERRANO (2019), p. 4].
Tal era la concepción del Tribunal Constitucional, recogida en multitud de resoluciones entre las que destaca las SSTC 254/1993, de 20 de julio (LA LEY 2282-TC/1993) (BOE núm. 197, de 18 de agosto de 1993) y 11/1998, de 13 de enero (LA LEY 1407/1998) (BOE núm. 37, de 12 de febrero de 1998), conforme a las cuales, a la vista de la finalidad de garantía que el derecho a la protección de datos cumplía con respecto a otros derechos, aquél revestía el carácter de instrumental con respecto a los mismos, por lo que necesariamente debía vincularse de forma directa al ya citado artículo 18 CE. (LA LEY 2500/1978)
El Tribunal Constitucional conceptúa el Derecho Fundamental a la protección de datos personales como aquel derecho del que es titular todo ciudadano y que tiene como finalidad garantizar a esa persona un poder de control sobre sus datos personales
El reconocimiento de la categoría de Fundamental del derecho a la protección de datos tuvo lugar en España mediante la
STC 292/2000, de 30 de noviembre (LA LEY 11336/2000)
(BOE núm. 4, de 4 de enero de 2001), resolución en la que el Tribunal Constitucional otorgó por vez primera carácter independiente y autónomo al citado derecho, al desvincularlo definitivamente del artículo 18 CE (LA LEY 2500/1978) y, en consecuencia, del Derecho Fundamental a la intimidad. Para ello, se basa en los principales caracteres de aquél, consistentes en su alcance, ya que comprende tanto los datos personales que son íntimos, como los que no lo son, y su contenido, a la vista de que concede un poder jurídico de control sobre los datos personales al titular de los mismos, autoridad jurídica que conlleva la especial protección de la esfera íntima de la persona, precisamente por el carácter de los datos en cuestión. Por todo ello, el Tribunal Constitucional conceptúa el Derecho Fundamental a la protección de datos personales como aquel derecho del que es titular todo ciudadano y que tiene como finalidad garantizar «[…] a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado».
La mencionada STC 292/2000 (LA LEY 11336/2000) lo recoge del modo siguiente:
«De este modo, el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE (LA LEY 2500/1978) otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo. Pero también el derecho fundamental a la protección de datos posee una segunda peculiaridad que lo distingue de otros, como el derecho a la intimidad personal y familiar del art. 18.1 CE. Dicha peculiaridad radica en su contenido, ya que a diferencia de este último, que confiere a la persona el poder jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera íntima de la persona y la prohibición de hacer uso de lo así conocido […], el derecho a la protección de datos atribuye a su titular un haz de facultades consistente en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos, que no se contienen en el derecho fundamental a la intimidad, y que sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer. […] En definitiva, el poder de disposición sobre los datos personales […]».
III.
Análisis del tratamiento de datos personales efectuado por las cámaras de videovigilancia
Dado que las cámaras de videovigilancia captan la imagen de las personas que se encuentran en el interior del establecimiento o de la empresa en los que se encuentran instaladas, constituyen una herramienta que identifica directamente o permite identificar a personas físicas que tienen una identidad concreta, o una identidad que se puede determinar. Tal imagen es un dato personal, pues se encuadra dentro de la definición del mismo prevista en el artículo 4.1) RGPD (LA LEY 6637/2016), que reza del modo siguiente:
«A efectos del presente Reglamento se entenderá por: 1) "datos personales": toda información sobre una persona física identificada o identificable ("el interesado"); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».
El uso de tales datos por medios automatizados determina que nos hallemos ante un ejemplo de tratamiento de datos personales, de conformidad con la conceptualización del citado concepto que prevé el apartado 2) del artículo 4 RGPD (LA LEY 6637/2016)
(3) que, en todo caso, ha de respetar los principios del tratamiento pormenorizados en el artículo 5 RGPD (LA LEY 6637/2016) (lealtad, transparencia, limitación de la finalidad, exactitud y minimización de los datos), además del ejercicio de los derechos del interesado, enumerados a tal efecto en los artículos 12 (LA LEY 6637/2016) y siguientes del mismo cuerpo legal (derechos de acceso, rectificación, oposición, supresión, limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas).
La finalidad del tratamiento objeto de estudio consiste en la captación de imágenes por cámaras de videovigilancia con el objetivo de salvaguardar la seguridad de las personas, los bienes y las instalaciones de la empresa, de modo que tal propósito de seguridad de las cámaras constituye una función realizada en interés público y, como tal, queda circunscrita en el ámbito previsto en el artículo 6.1.e) RGPD (LA LEY 6637/2016), convirtiendo así en lícito el tratamiento de datos personales efectuado por las mismas. El citado precepto, que deberemos poner en conexión con los artículos 22 (LA LEY 19303/2018) y 89 LOPD (LA LEY 19303/2018), así como en la Instrucción 1/2006, de 8 de noviembre (LA LEY 11881/2006), de la AEPD sobre el tratamiento de datos personales con fines de videovigilancia a través de sistemas de cámaras o videocámaras, prevé lo siguiente:
«El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: […] e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento».
El interés público perseguido por el tratamiento efectuado mediante la captación de imágenes radica en el cumplimiento de una función de garantía de la protección o la seguridad de las personas y de los bienes que se encuentran en el establecimiento o la empresa
El interés público perseguido por el tratamiento efectuado mediante la captación de las citadas imágenes radica, tal y como se ha indicado, en el cumplimiento de una función de garantía de la protección o la seguridad de las personas y de los bienes que se encuentran en el establecimiento o la empresa, en consonancia con lo dispuesto en la Ley 5/2014, de 4 de abril (LA LEY 5140/2014), de Seguridad Privada (en adelante, LSP) (4) . Tal función de seguridad reviste una importancia fundamental, pues, de conformidad con el preámbulo de la citada ley, no es solamente un valor jurídico, normativo o político, sino que «[…] es igualmente un valor social. Es uno de los pilares primordiales de la sociedad, se encuentra en la base de la libertad y la igualdad y contribuye al desarrollo pleno de los individuos».
Con el fin de limitar el significado de la noción de seguridad privada, el apartado 1 del artículo 2 LSP (LA LEY 5140/2014) la define como «el conjunto de actividades, servicios, funciones y medidas de seguridad adoptadas, de forma voluntaria u obligatoria, por personas físicas o jurídicas, públicas o privadas, realizadas o prestados por empresas de seguridad, despachos de detectives privados y personal de seguridad privada para hacer frente a actos deliberados o riesgos accidentales, o para realizar averiguaciones sobre personas y bienes, con la finalidad de garantizar la seguridad de las personas, proteger su patrimonio y velar por el normal desarrollo de sus actividades». Debemos poner el precepto anterior en conexión con el apartado 1 del artículo 4 LSP (LA LEY 5140/2014), que detalla las funciones perseguidas por la seguridad privada, entre las que se encuentra la de salvaguardar la información de los interesados cuyos datos personales son captados por las cámaras de videovigilancia.
El tenor literal del reseñado precepto es el siguiente:
«La seguridad privada tiene como fines: a) Satisfacer las necesidades legítimas de seguridad o de información de los usuarios de seguridad privada, velando por la indemnidad o privacidad de las personas o bienes cuya seguridad o investigación se le encomiende frente a posibles vulneraciones de derechos, amenazas deliberadas y riesgos accidentales o derivados de la naturaleza. b) Contribuir a garantizar la seguridad pública, a prevenir infracciones y a aportar información a los procedimientos relacionados con sus actuaciones e investigaciones. c) Complementar el monopolio de la seguridad que corresponde al Estado, integrando funcionalmente sus medios y capacidades como un recurso externo de la seguridad pública».
Ahora bien, la relevancia del tratamiento llevado a cabo por medio de las cámaras de videovigilancia no radica, en sí misma, en las imágenes, sino en los datos que las mismas contienen, especialmente porque toman la imagen facial de las personas y ello revela su sexo, su origen racial o étnico, su religión… El extremo anterior convierte los datos objeto de tratamiento en datos biométricos, en virtud de la definición de los mismos prevista en el apartado 14) del artículo 4 RGPD (LA LEY 6637/2016):
«A efectos del presente Reglamento se entenderá por: […] "datos biométricos": datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos».
De este modo, y de acuerdo con lo dispuesto en el considerando 51 RGPD, (LA LEY 6637/2016) al hallarnos ante datos biométricos que permiten la identificación facial de las personas, los datos objeto de tratamiento constituyen, asimismo, una categoría especial de datos, extremo que, de acuerdo con el artículo 9.1 RGDP (LA LEY 6637/2016) —«Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física»—, implica que, por norma general, no cabe su tratamiento. Ahora bien, el hecho de recabarlos con motivo del cumplimiento de una misión realizada en interés público permite no solamente tal tratamiento, sino también que el mismo se efectúe sin el consentimiento previo del interesado, ex
artículo 9.2.g) RGPD (LA LEY 6637/2016), junto con su considerando 45 (LA LEY 6637/2016). Ello legitima el tratamiento de los datos captados por las videocámaras.
El mencionado considerando 51 RGPD (LA LEY 6637/2016) reza así:
«Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. Debe incluirse entre tales datos personales los datos de carácter personal que revelen el origen racial o étnico, entendiéndose que el uso del término "origen racial" en el presente Reglamento no implica la aceptación por parte de la Unión de teorías que traten de determinar la existencia de razas humanas separadas. El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física».
IV.
Las medidas a adoptar por la empresa y el principio de responsabilidad proactiva
El concepto de principio de responsabilidad proactiva o «principio de accountability»
(5) , que introducido por la OECD en el Códigos de Conducta o Guías de Protección de la Privacidad y flujo transfronterizo de datos personales, así como por el Grupo de Trabajo del artículo 29 en el año 2010, mediante la emisión de la Opinión 3/2010 sobre el principio de la Responsabilidad Proactiva o «principio de accountability», se encuentra previsto en el apartado 2 del artículo 5 RGPD (LA LEY 6637/2016), que lo vincula directamente al responsable del tratamiento, como persona física o jurídica encargada de los tratamientos de datos personales efectuados por la empresa, de conformidad con la definición de tal figura jurídica contenida en el apartado 7) del artículo 4 RGPD (LA LEY 6637/2016), que conceptúa al mismo como «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros».
En su virtud, la empresa debe preocuparse, a todos los niveles, de llevar a cabo una labor de cumplimiento normativo o
compliance
de forma sistemática y multifuncional, adoptando medidas técnicas y organizativas que impliquen a todos los departamentos y niveles profesionales, documentando esta labor para acreditar su adopción y aplicación, así como revisándola continuamente para su eficiencia. Es decir, no se trata solamente de incluir el cumplimiento normativo como uno de los valores esenciales de la empresa, sino de acreditar tal cumplimiento. Tal función corresponde, en materia de protección de datos personales, al responsable del tratamiento, ex
artículo 24 RGPD (LA LEY 6637/2016), en conexión con el artículo 28 LOPD (LA LEY 19303/2018), y debe llevarla a cabo aplicando los principios de protección de datos desde el diseño y por defecto. Concretamente, y de acuerdo con el apartado 2 del artículo 25 RGPD (LA LEY 6637/2016), «El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas».
Con relación a las medidas a adoptar por las empresas, la Agencia Española de Protección de Datos (en adelante, AEPD), como autoridad de control competente en nuestro país, y en cumplimiento de lo establecido en la Disposición Adicional 18 LOPD (LA LEY 19303/2018)
(6) , ha elaborado la «Guía sobre el uso de videocámaras para seguridad y otras finalidades»
(7) , que contiene un elenco de medidas técnicas y organizativas a adoptar en relación con el tratamiento de datos personales llevado a cabo mediante la captación de imágenes por cámaras de videovigilancia.
La citada guía enumera las siguientes medidas que deberá llevar a la práctica el responsable del tratamiento, en virtud del principio de responsabilidad proactiva. La primera de tales medias consiste en la designación de un Delegado de protección de Datos o DPO (Data Protection Officer), figura prevista en los artículos 37 RGPD (LA LEY 6637/2016) y 34 LOPD (LA LEY 19303/2018). El DPO goza de independencia dentro de la empresa y la AEPD lo define como «uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control» (8) . Su misión es salvaguardar el cumplimiento normativo de la compañía en materia de protección de datos personales, de modo que trabaja en coordinación con el responsable del tratamiento para cumplir tal fin, así como con los encargados del tratamiento correspondientes.
En segundo lugar, la AEPD menciona la necesidad de elaborar un registro de actividades de tratamiento, consistente en un documento en formato escrito o electrónico que tiene como fin llevar a cabo un seguimiento de cada tratamiento de datos personales realizado por la empresa y que debe contener todos los puntos detallados en los artículos 30 RGPD (LA LEY 6637/2016) y 31 LOPD (LA LEY 19303/2018) (junto con el considerando 82 RGPD (LA LEY 6637/2016)), así como permanecer siempre a disposición de la autoridad de control que así lo requiera. La adopción de esta medida es obligatoria, pues, pese al tamaño de la empresa, al hallarnos ante un tratamiento de categorías especiales de datos no rige la excepción prevista en el apartado 5 del artículo 30 RGPD.
Asimismo, y a la vista de la multiplicidad de amenazas a las que se enfrentan los datos personales recabados por las cámaras de videovigilancia, la entidad deberá confeccionar un análisis de riesgos, documento que tiene como finalidad identificar las citadas amenazas, así como la probabilidad de su materialización, con el fin de concluir cuál es el nivel de protección de los datos personales, atendiendo al nivel de riesgo determinado, que debe ser adecuado. Frente a ello, la empresa deberá trazar un plan de mitigación del riesgo. El considerando 83 RGPD (LA LEY 6637/2016), que deberemos asimismo poner en conexión con el considerando 76 RGPD (LA LEY 6637/2016), resume el concepto anterior del modo siguiente:
«A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales».
El siguiente paso debe consistir en la confección de una evaluación de impacto que, en virtud del considerando 84 RGPD (LA LEY 6637/2016), «evalúe […] el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo». En el supuesto de que dicha evaluación concluya que el riesgo del tratamiento es alto, es necesario elevar una consulta previa a la autoridad de control competente que, como su nombre indica, es anterior a la realización del tratamiento en cuestión (artículos 35 (LA LEY 6637/2016) y 36 RGPD (LA LEY 6637/2016), así como 28 LOPD (LA LEY 19303/2018)).
La empresa deberá contar con un plan de contingencia en caso de brecha de seguridad
Seguidamente, la empresa deberá contar con un plan de contingencia en caso de brecha de seguridad. Corresponde al responsable del tratamiento la obligación de notificarla a la autoridad de control competente, sin dilación indebida y, a más tardar, en el plazo máximo de 72 horas desde el momento en que es conocedor de la misma, ex
artículo 33 RGPD (LA LEY 6637/2016). A ello se refiere el considerando 85 RGPD del modo siguiente:
«[…] Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida».
En sexto lugar, la empresa debe salvaguardar el ejercicio de los derechos de los interesados, enumerados en el artículo 5 RGPD (LA LEY 6637/2016) (lealtad, transparencia, limitación de la finalidad, exactitud y minimización de los datos). Para ello, deberá poner a su disposición un formulario de ejercicio de cada uno de ellos, así como contar con un protocolo a aplicar en el supuesto de ejercicio de los mismos. A la reseñada enumeración de derechos deberemos añadir, asimismo, el ejercicio del derecho de información del interesado, que en este caso concreto se materializa en la instalación de un distintivo informativo de la zona de videovigilancia, que habrá de informar de la existencia del tratamiento en cuestión, de la identidad y datos de contacto del responsable del tratamiento o del sistema de videovigilancia, de la posibilidad de ejecutar el ejercicio de los reseñados derechos, contenidos en los artículos 15 a (LA LEY 6637/2016)
22 RGPD (LA LEY 6637/2016); de cómo obtener más información sobre el tratamiento de datos personales efectuado y, por último, deberá facilitar los puntos informativos contenidos en el artículo 13 RGPD (LA LEY 6637/2016) (datos del DPO, fines del tratamiento, destinatarios de los datos, en su caso, transferencia o cesión de los datos, plazo de conservación de los mismos o criterios utilizados para ello, derecho del interesado a presentar una reclamación ante la autoridad de control, derecho del interesado a retirar su consentimiento para el tratamiento, y existencia, en su caso, de toma de decisiones automatizadas).
En el supuesto de que la entidad cuente con un encargado del tratamiento, definido en el apartado 8) del artículo 4 RGPD (LA LEY 6637/2016) como «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento», como tercero con acceso a los datos personales captados por las cámaras de videovigilancia, su vinculación deberá recogerse en un contrato, que asimismo detallará las concretas medidas en materia de protección de datos personales que deberá cumplir, dentro del catálogo de obligaciones que asume como parte contratada. Así lo dispone el artículo 28 RGPD (LA LEY 6637/2016), en conexión con el artículo 33 LOPD (LA LEY 19303/2018). A tal encargado le corresponderán, asimismo, las obligaciones de confeccionar un registro de actividades de tratamiento (ex
artículo 30.2 RGPD (LA LEY 6637/2016)), así como de notificar al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que sea conocedor (ex
artículo 33.2 RGPD (LA LEY 6637/2016)).
Finalmente, además de contar con un protocolo de eliminación de los datos personales objeto de tratamiento, el responsable del tratamiento deberá tener en cuenta que existen unos plazos legales de conservación de tales datos. En lo concerniente a los recabados mediante cámaras de videovigilancia, debemos realizar una disociación. En primer lugar, los relativos a la lista de visitantes, es decir, a las personas o IP que han accedido a tales datos, la Instrucción 1/1996, de 1 de marzo (LA LEY 1143/1996), de la Agencia de Protección de Datos, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios, determina, en su norma quinta, que los mismos deberán ser destruidos en el plazo de un mes, a contar desde su captación. En segundo lugar, por cuanto atañe a los vídeos e imágenes captados por las cámaras, los mismos deberán ser conservados durante el plazo de un mes desde su captación, pasado el cual podrán ser bloqueados. Ahora bien, la empresa correspondiente deberá conservar tales datos durante un plazo de 3 años, a contar desde su captación, para poder proceder a su completo borrado o eliminación, en virtud de lo dispuesto en la Instrucción 1/2006, de 8 de noviembre (LA LEY 11881/2006), de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.